|
Кирилл Аристов | Когда измените способ авторизации?! Задолбался по двадцать раз вводить еле различимую капчу!
Тыщу раз уже указывал на этот баг, а воз всё ещё поныне там же. Мне что, такой же ресурс создать, чтобы, блин, вы там начали беспокоиться об юзерах?! А?! Юзабилити!!!
На самый крайний крайняк после неправильного ввода капчи пускай в форме сохраняется пароль, а то ещё и его перебивать надо. | Иван Фомичев | Засем лугаеся, насяльника?
Плантариум денег своему создателю не приносит, а дареному коню, как известно, в зубы не смотрят. Если Вы, Кирилл, можете создать подобный ресурс в сжатые сроки - это характеризует Вас как очень хорошего web-разработчика и как человека, у которого очень много свободного времени. Думаю, что Дмитрий не расстроится: человек он независтливый
Теперь по поводу юзабилити. У Димы, так сказать, свой взгляд на юзабилити. Мы часто на эту тему спорили. Я говорил, что лучше всего проектировать интерфейс таким образом, чтобы человек, попавший на сайт случайно, смог мгновенно сориентироваться. У Димы принципиально иной подход. Он считает, что сайт Плантариума надо читать, как книгу: внимательно и с расстановкой ("а те посетители, которые не умеют читать, пользы проекту не принесут"). Можно, конечно, с этим не соглашаться, но на это у Дмитрия есть еще один убойный аргумент: "я не юзабилист и не дизайнер, делаю так, как считаю удобным для себя, за свои деньги нанимать хорошего дизайнера и юзабилиста я не буду, поэтому пока все останется так, как есть".
Теперь по сути Вашего вопроса. Я сам неоднократно предлагал Диме отказаться от капчи при аутентификации, но он отказывается, приводя в качестве аргумента предотвращение перебора паролей роботами. Если у Вас есть конструктивные предложения, как можно предотвратить эту опасность другими способами, пожалуйста, высказывайте.
Если Вам непонятно, что написано на капче, можно щелкнуть на картинке: картинка поменяется, но число сохранится. Если со второго раза еще бывает непонятно, то на третий раз сомнений уже, как правило, нет. Возвращаясь к юзабилити: такую капчу я видел только на Плантариуме, на других сайтах число каждый раз меняется, и щелкать на картинку можно до второго пришествия.
Повторного ввода пароля после неудачной аутентификации требуют даже те сервисы, у которых есть возможность привлекать наемный труд и разработчиков, и дизайнеров, и юзабилистов, и уборщиц. Не знаю, с чем это связано. Лучше проконсультироваться со специалистом по безопасности. | Кирилл Аристов | Я видел сервисы, где после неудачного ввода капчи, пасс больше вводить не надо. Соббсна, в каком-то смысле, это гугль со своим openid.
Если по колхозному - есть два поля для авторизации - пасс и капча, каждый проверяется на верность, если что-то не валидно, обратно отправляется только неверное поле для повторной авторизации.
С психологией Димы знаком с этим можно только смириться, к сожалению.
А насчёт капчи вообще... ну какой в ней смысл.... пять раз пассворд ввёл неправильно, кури пять минут. И никакого брутфорса. | Иван Фомичев | Кирилл Аристов пишет:С психологией Димы знаком
Только давайте будем называть это не психологией, а скажем, принципами построения интерфейса.
Кирилл Аристов пишет:А насчёт капчи вообще... ну какой в ней смысл.... пять раз пассворд ввёл неправильно, кури пять минут. И никакого брутфорса.
Да, такой подход приходит в голову. Но неизвестно, что лучше. С одной стороны, мало ли у кого СФЗЫ ДЩСЛ включен, и пока человек разберется, его уже заблокирует, с другой - робота можно через прокси запустить, или ботнет, в конце концов. | Кирилл Аристов | RewriteRule ^психологи[я|ей]$ принцип_построения_интерфейса [R, NC]
Ну десять срабатываний поставить, а чего прокся? Счётчику по барабану с какого адреса идёт аутентификация | Иван Фомичев | Кирилл Аристов пишет:Ну десять срабатываний поставить, а чего прокся? Счётчику по барабану с какого адреса идёт аутентификация
А, десять раз на каждое имя пользователя? Тогда да, может сработать. Только это опять же дополнительная разработка. | Владимир Иванов | Кирилл Аристов пишет:Когда измените способ авторизации?! Задолбался по двадцать раз вводить еле различимую капчу!
Кирилл, это же просто графика. Увеличьте её средствами браузера.
Кирилл Аристов пишет:
На самый крайний крайняк после неправильного ввода капчи пускай в форме сохраняется пароль, а то ещё и его перебивать надо.
У Вас браузер не запоминает пароль? Попробуете использовать Firefox - он запоминает. | Лена Глазунова | Запоминать пароль хорошо, когда никто больше компом не пользуется. А то как-то паранойя беспокоит - вдруг кто под твоим именем войдет, почту прочтёт, или каких гадостей напишет... | Владимир Иванов | Лена Глазунова пишет:Запоминать пароль хорошо, когда никто больше компом не пользуется. А то как-то паранойя беспокоит - вдруг кто под твоим именем войдет, почту прочтёт, или каких гадостей напишет...
Когда входите в систему на работе - используйте пароль, а потом уже можно не бояться. Большинство людей не хакеры и не влезут к Вам с своего эккаунта - система не даст. | Лена Глазунова | Я имела в виду автоматический вход при посещении сайта. Почему-то некоторые люди используют эту штуку. По-моему, не стоит. | Дмитрий Орешкин | Я, даже со своей лёгкой близорукостью (уже упоминавшейся при разборе вопроса о связи размера и качества снимков) и без очков вполне в состоянии различить ключ страницы на картинке.
Если кто-то не читает то, что написано рядом с "капчей" - это его личные проблемы.
Если кто-то не может различить цифры в оригинальном размере, то вполне может увеличить размер страницы средствами браузера.
"Капча" - оптимальный по соотношению цены и качества способ защиты системы авторизации от атак ботов, и я не вижу смысла от него отказываться.
Я авторизуюсь на сайте раза два в день на протяжении почти трёх лет, и меня система авторизации нисколько не радражает. | Кирилл Аристов | А, десять раз на каждое имя пользователя? Тогда да, может сработать
Ну конечно на каждого, неужель на всех?
Дим, а что, вообще никаких тормозов нет на брутфорс? То есть я могу спокойно прикрутить распознаватель капчи и подбирать пароль?
Ломаем каптчу Яндекса / Хабрахабр | Кирилл Аристов | Можно совсем уж по-детски, увеличить умолчально масштаб капчи:
было так
<img height="30" width="80" alt="page key" src="/key.php?page=login&86171541" id="pageKey1_img">
а стало так:
<img height="60" width="160" alt="page key" src="/key.php?page=login&86171541" id="pageKey1_img">
| Дмитрий Орешкин | Кирилл Аристов пишет:Дим, а что, вообще никаких тормозов нет на брутфорс?
Так я сейчас и буду рассказывать на весь Интернет
Кирилл Аристов пишет:а стало так:
<img height="60" width="160" alt="page key" src="/key.php?page=login&86171541" id="pageKey1_img">
Не уверен, но думаю, это облегчит программное распознавание картинки - при увеличении размеров шум будет сильнее отличаться от смысловых элементов.
А вообще, тему пора закрывать - авторизация работает, и хорошо. Всё равно я в ближайший год-пять переделывать здесь ничего не буду - у меня и так по горло дел с разработкой новой функциональности... | Лена Глазунова | А вот такой вопрос: можно как-то удалить пароль из памяти? Сдуру отметила галочкой, да ещё на рабочем компьютере...
На молбиоле есть такая кнопочка - "удалить все кукисы". Помогает в подобных случаях. А куда в IE лезть для удаления пароля - даже не представляю... | Дмитрий Орешкин | Ты имеешь в виду пароль, который браузер сам подставляет в поле "пароль" после ввода логина? | Лена Глазунова | Ага. | Дмитрий Орешкин | Если да, то в IE 8 так:
Свойства обозревателя / Содержание / Автозаполнение / Удаление истории автозаполнения / включить опцию "Пароли" / Удалить | Лена Глазунова | Спасибо. Правда, там наверняка более старый IE, но попробую на сл. неделе. |
|